Attestation d’appareil géré pour les appareils Apple
L’attestation des appareils gérés est une fonctionnalité sous iOS 16, iPadOS 16.1, macOS 14, tvOS 16 et toutes versions ultérieures qui offre des preuves solides sur les propriétés d’un appareil pouvant être utilisées dans le cadre d’une évaluation de confiance. Cette déclaration chiffrée des propriétés de l’appareil est basée sur la sécurité de Secure Enclave et des serveurs d’attestation Apple.
L’attestation des appareils gérés permet de les protéger contre les menaces suivantes :
Un appareil compromis qui ment au sujet de ses propriétés.
Un appareil compromis qui fournit une attestation obsolète.
Un appareil compromis qui envoie les identifiants d’un autre appareil.
L’extraction d’une clé privée à utiliser sur un appareil malveillant.
Un fraudeur détourne une demande de certificat pour inciter l’autorité de certification à lui émettre un certificat.
Pour en savoir plus, regardez la vidéo de la WWDC23 Nouveautés pour la gestion des appareils Apple (en anglais).
L’attestation des appareils gérés avec les demandes d’inscription de certificat ACME
Le service ACME de l’autorité de certification d’une organisation peut demander une attestation des propriétés de l’appareil inscrit. Cette attestation offre la garantie que les propriétés de l’appareil (par exemple le numéro de série) sont légitimes et non usurpées. Le service ACME de l’autorité de certification émettrice peut valider par chiffrement l’intégrité des propriétés de l’appareil attestées et éventuellement les comparer à l’inventaire des appareils de l’organisation. Une fois la vérification réussie, confirmez que l’appareil appartient à l’organisation.
Si l’attestation est utilisée, une clé privée liée au matériel est générée dans le Secure Enclave de l’appareil dans le cadre de la demande de signature de certificat. Pour cette demande, l’autorité de certification de l’ACME peut ensuite émettre un certificat client. Cette clé est liée au Secure Enclave et n’est donc disponible que sur un appareil précis. Elle peut être utilisée sur iPhone, iPad, Apple TV et Apple Watch avec des configurations prenant en charge la spécification d’une identité de certificat. Sur Mac, les clés liées au matériel peuvent être utilisées à des fins d’authentification avec la GAM, Microsoft Exchange, Kerberos, les réseaux 802.1X, le client VPN intégré et le relais réseau intégré.
Remarque : Le Secure Enclave dispose de protections très solides contre l’extraction de clés, même dans le cas d’un processeur d’application compromis.
Ces clés liées au matériel sont automatiquement supprimées lors de l’effacement ou de la restauration d’un appareil. Les clés étant supprimées, tout profil de configuration qui repose sur ces clés ne fonctionnera plus après une restauration. Le profil doit être de nouveau appliqué pour que de nouvelles clés soient créées.
En utilisant l’attestation d’entité ACME, la GAM peut inscrire une identité de certificat de client en utilisant le protocole ACME qui peut valider par voie de chiffrement les éléments suivants :
Il s’agit d’un appareil Apple authentique.
Il s’agit d’un appareil spécifique.
L’appareil est géré par le serveur de GAM de l’organisation.
L’appareil possède certaines propriétés (par exemple, le numéro de série).
La clé privée est liée au matériel de l’appareil.
Attestation d’appareil géré avec les requêtes de GAM
En plus d’utiliser l’attestation des appareils gérés avec les demandes d’inscription de certificat ACME, une solution de GAM peut émettre une requêteDeviceInformation
de propriété DevicePropertiesAttestation
. Si la solution de GAM veut garantir une nouvelle attestation, elle peut envoyer une clé facultative DeviceAttestationNonce
, qui force une nouvelle attestation. Si cette clé est omise, l’appareil renvoie une attestation mise en cache. La réponse d’attestation de l’appareil renvoie alors un certificat feuille avec ses propriétés dans des OID personnalisés. Les deux premières propriétés sont le numéro de série et l’UDID (qui sont toutes deux omises lors de l’utilisation de l’inscription d’utilisateurs). Les autres valeurs sont anonymes et comprennent des propriétés telles que la version de sepOS et la valeur antirépétition facultative.
La solution de GAM peut alors valider la réponse en évaluant si la chaîne de certificats est enracinée auprès de l’autorité de certification Apple souhaitée (disponible dans le référentiel PKI privé d’Apple) et, si nécessaire, vérifier la valeur antirépétition fournie dans la requête DeviceInformation
.
Étant donné que la définition d’une valeur antirépétition génère une nouvelle attestation, ce qui consomme des ressources sur l’appareil et les serveurs d’Apple, l’utilisation est actuellement limitée à une attestation par appareil tous les 7 jours. Il n’est pas nécessaire de demander une nouvelle attestation, sauf si les propriétés de l’appareil ont changé, par exemple en cas de mise à jour ou de mise à niveau de la version du système d’exploitation.